Serveur Exchange - renommer les noms internes en FQDN
DigiCert n'émettra plus de certificats SSL/TLS aux noms internes ou adresses IP. Apprenez à reconfigurer le serveur Exchange qui utilise les noms des domaines internes/locaux. Pour se conformer aux nouvelles directives du CA/B Forum, renommez les noms de domaine internes pour utiliser un nom de domaines pleinement qualifiés (FQDN). Vous pouvez ensuite commander un certificat SSL/TLS.
Pourquoi un certificat SSL ne peut pas être utilisé pour le nom de domaine non-qualifié ?
Dans le but de renforcer la sécurité sur Internet, le CA/Browser Forum a récemment formulé de nouvelles normes plus strictes pour l'émission de certificats SSL. Les autorités de certification doivent supprimer l'émission de certificats délivrés à des noms de serveurs internes ou à une adresse IP réservée (des noms DNS non-qualifiés). Pour plus d'informations, consultez Baseline Requirements dans Guidance on Internal Names du forum CAB.
Ainsi, les noms de domaine de type .local ou .corp utilisés souvent sur Microsoft Exchange ne peuvent plus être sécurisés et inclus dans un certificat, puisqu'ils ne répondent pas aux exigences du domaine FQDN.
Comment résoudre le problème du FQDN ?
Si un certificat ne peut pas être demandé pour les domaines non-qualifiés et ces domaines ne peuvent être entrés ni en tant que les noms DNS dans les SAN, comment faire ?
La solution est à "renommer" les domaines non-qualifiés, tels que .local, aux noms qualifiés, qui sont enregistrés sous l'un des TLD (le propriétaire peut être trouvé dans la base de données WHOIS du TLD).
Pour renommer un domaine non-qualifié, vous pouvez utiliser notre guide ci-dessous.
Digicert a lancé un nouvel outil pour Microsoft Exchange qui offre aux administrateurs réseau un moyen simple de reconfigurer leurs serveurs Exchange pour se conformer aux nouvelles directives du CA/B Forum, qu'ils utilisent ou non actuellement les certificats SSL DigiCert. L'outil de DigiCert est gratuit et vous le téléchargez ici.
Renommer un domaine
Pour renommer un domaine sur Exchange manuellement, suivez la procédure :
Activez Exchange Management Shell :
Pour modifier l'URL du service Autodiscover, tapez la commande suivante :
Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml
Pour modifier le paramètre InternalUrl du service EWS, tapez la commande suivante :
Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx
Pour changer l'URL interne attribut InternalUrl du service Web-based Offline Address Book, tapez la commande suivante :
Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab
Si vous utilisez le service Unified Message service, modifiez l'attribut InternalUrl :
Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx
Si votre configuration le demande, utilisez les commandes suivantes :
Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync
Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa
Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp
Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true
Enfin, redémarrez les AppPools
Une fois les modifications terminées, redémarrez les AppPools. Ouvrez Gestionnaire des services Internet et Pools d'applications. Faites un clic droit sur MSExchangeAutodiscoverAppPool et sélectionnez Recycle
Nous sommes désolés que vous n'ayez pas trouvé les informations que vous recherchiez.
Aidez-nous à améliorer cet article. Vous cherchez autre chose ? N'hésitez pas à nous écrire.